MegaLab.it

Inviato: **mer dic 08, 2010 8:34 pm**

Prima di distruggerlo riclonando il pc vorrei capire cosa diavolo mi sono sparato dentro il pc.

Oggi ho usato questo topic68546.html e nonostante le scansioni con malwarebytes, avira, avast, che hanno ripulito varie cose, ora non trovo più niente che spieghi il problema.

Gmer, no virus thanks antirootkit, mbr.exe, hitman pro, cd di boot di avira non trovano niente di pericoloso.

Combofix nel mio pc non c'è verso di farlo girare, quindi non chiedetemi il suo log.

Mi si aprono nel task manager due sessioni di internet explorer che puntano ai link che vedete nel tag memo (occhio ad aprirli anche se non sembrano niente di pericoloso)

http://www.clickpacket.org/ac.php?aid=457&sid=direct

http://www.aheadx.com/ac.php?aid=457&sid=direct

Nella cartella temp dell'account c'è un file reg che reimposta internet explorer come browser predefinito e si formano un file dat e un bin con una serie di numeri nel nome (da google e virustotal nessuna informazione), anche cancellandoli si ricreano.

L'unica voce strana nel log di gmer è questa che non avevo mai visto.

---- Threads - GMER 1.0.15 ----

Thread System [4:260] 8644F58D

Sono stanco e sconcertato perché non riesco a capire cosa ci sia sotto.
Adesso devo spegnere perché il pc e il mio cervello sono vicini al punto di fusione.
Se avete delle idee per domani mattina presto altrimenti poi devo clonare per ripristinare.

Inviato: **mer dic 08, 2010 9:05 pm**

Una qualche variante di bootkit in aggiunta di altro malware? Sto ipotizzando anche leggendo la descrizione del virus..

Oltre al rescue disk di avira, fai un tentativo con quello di Gdata per vedere se riesce a stanare qualcosa, altrimenti fai una formattazione a basso livello e sei sicuro di eliminare eventuali componenti rootkit

Inviato: **gio dic 09, 2010 1:13 am**

crazy.cat ha scritto:Thread System [4:260] 8644F58D

Probabilmente c'è qualche parte di codice rootkit nei settori esterni al filesystem, tutto sta a cercarli partendo dal settore 0, proprio per vedere se è stato modificato ad hoc per rimanere invisibile anche con mbr.exe; installa HxD, dopo che lo avvi vai in Extra--> Apri Disco e selezioni il disco fisico.

Considerato che i rootkits per rimanere invisibili stanno al di fuori del filesystem, dobbiamo controllare i possibili punti dove possono insediarsi (in genere nei primi 62 settori e/o negli ultimi del disco); dal settore 0 ci ricaviamo i settori che segnano inizio e fine delle partizioni e filesystem, poi passiamo ad azzerare tutti i settori esterni al filesystem; è una procedura che può prendere del tempo perché sono necessari alcuni settori ma se non hai molto tempo conviene eseguire uno zerofilling dopo aver clonato il disco.

Inviato: **gio dic 09, 2010 1:17 pm**

A causa mancanza di tempo per scoprire dove si annidava l'intruso ho usato le maniere forti.
Formattone a basso livello e ripristino immagine.

E' la prima volta che returnil più hips vengono superati alla grande senza segnalarmi niente, il tutto per quello che credevo uno stupidissimo rogue.

Ho tolto il file dal magazzino troppo pericoloso.

Avevo anche il lo stesso messaggio da bootkit remover topic68548.html

Inviato: **gio dic 09, 2010 1:34 pm**

Forse non è il rogue in se ma quello che fa entrare ad infezione avviata. Molto strano che dia quel messaggio il bootkit remover, perché la doppia sessione di ie fa pensare fortemente a questa tipologia virale, e anche gli altri sintomi coincidono. Le cose sono due: o sono una combinazione di più virus, oppure si stanno progettando virus veramente subdoli pensati appositamente per superare senza problemi i migliori sistemi di sicurezza attualmente disponibili e neutralizzare i tools specifici.

Inviato: **gio dic 09, 2010 4:39 pm**

Volevo chiedere una cosa.Supponiamo che io creo un immagine del OS e a mia insaputa ha l'MBR infetto. Successivamente faccio una formattazione a basso livello o col zerofilling,quindi MBR a posto. Successivamente ripristino l'immagine del OS a quando era infetto (compreso MBR) il risultato sarà MBR pulito o infetto?

Inviato: **gio dic 09, 2010 5:17 pm**

crazy.cat ha scritto:A causa mancanza di tempo per scoprire dove si annidava l'intruso ho usato le maniere forti.
Formattone a basso livello e ripristino immagine.

E' la prima volta che returnil più hips vengono superati alla grande senza segnalarmi niente, il tutto per quello che credevo uno stupidissimo rogue.

Ho tolto il file dal magazzino troppo pericoloso.

Avevo anche il lo stesso messaggio da bootkit remover topic68548.html

Si è vero anche io una volta ho voluto "toccare con mano" perché sapevo che il malware in questione bypassava RVS ciò che hai descritto tu.
Invece il bypass non si è verificato con l'accoppiamento RVS + Sandboxie.
Che a tutt'oggi sono installati entrambi nel mio pc.

Inviato: **gio dic 09, 2010 7:07 pm**

Sabbb ha scritto:Volevo chiedere una cosa.Supponiamo che io creo un immagine del OS e a mia insaputa ha l'MBR infetto. Successivamente faccio una formattazione a basso livello o col zerofilling,quindi MBR a posto. Successivamente ripristino l'immagine del OS a quando era infetto (compreso MBR) il risultato sarà MBR pulito o infetto?

Quando ripristini l'immagine del SO non ripristini l'mbr, infatti con uno zerofilling azzeri tutto il disco settore per settore e poi bisogna ripartire da capo con la formattazione del disco. Poi ripristini l'immagine e sei a posto.

Inviato: **gio dic 09, 2010 11:02 pm**

Uomo_Senza_Sonno ha scritto:
Quando ripristini l'immagine del SO non ripristini l'mbr, infatti con uno zerofilling azzeri tutto il disco settore per settore e poi bisogna ripartire da capo con la formattazione del disco. Poi ripristini l'immagine e sei a posto.

Quindi:Se ripristino un immagine (nel mio caso Tib di Acronis) che aveva l'MBR infetto su un HD appena formattato,l'immagine e il OS sarà a posto.? (scusami,ma voglio capire bene il concetto [grazie]

)

Inviato: **gio dic 09, 2010 11:44 pm**

Attenzione, la formattazione del disco deve essere a basso livello per essere sicuri di eliminare le componenti rootkit, in quanto per rimanere invisibili ai controlli si insediano nelle porzioni del disco che non sono raggiungibili dal SO.
Quando formatti non elimini un'eventuale mbr infetto, riscrivi il filesystem, mentre quando esegui lo zerofilling azzeri tutti i settori, dal primo all'ultimo. In sostanza, clonando il disco non cloni completamente tutto il disco, ma cloni il filesystem.
Se il sistema è pulito durante la clonazione e dopo ripristini a seguito di una formattazione a basso livello non hai problemi di sorta

Inviato: **ven dic 10, 2010 4:15 pm**

Uomo_Senza_Sonno ha scritto:Attenzione, la formattazione del disco deve essere a basso livello per essere sicuri di eliminare le componenti rootkit, in quanto per rimanere invisibili ai controlli si insediano nelle porzioni del disco che non sono raggiungibili dal SO.
Quando formatti non elimini un'eventuale mbr infetto, riscrivi il filesystem, mentre quando esegui lo zerofilling azzeri tutti i settori, dal primo all'ultimo. In sostanza, clonando il disco non cloni completamente tutto il disco, ma cloni il filesystem.
Se il sistema è pulito durante la clonazione e dopo ripristini a seguito di una formattazione a basso livello non hai problemi di sorta

Questa cosa vale anche se selezioni l'opzione (Da Acronis boot cd) clona settore per settore?

Inviato: **ven dic 10, 2010 4:46 pm**

Se cloni settore per settore con un bootcd ed hai l'mbr infetto cloni anche l'infezione, e di conseguenza rendi vana la formattazione a basso livello.

Inviato: **ven dic 10, 2010 5:16 pm**

Uomo_Senza_Sonno ha scritto:Se cloni settore per settore con un bootcd ed hai l'mbr infetto cloni anche l'infezione, e di conseguenza rendi vana la formattazione a basso livello.

Scusa, intendevo questa modalità di clonazione fatta ovviamente prima dell'infezione di sitema, ad esempio backup settimanale del filesystem mentre il backup settore per settore ogni due settimane.

Inviato: **ven dic 10, 2010 5:44 pm**

Beh si, se cloni un disco sano settore per settore non hai problemi, perché sovrascrivi i settori uno ad uno, ma prima di fare un backup del genere dovresti fare tutti i controlli di sicurezza.

Inviato: **ven dic 10, 2010 6:46 pm**

Riformulo la domanda. Se creo un immagine del sistema con mbr infetto,poi faccio una formattazione a basso livello,poi ripristino l'immagine creata di cui sopra:l'mbr sarà infetto o no?

Inviato: **ven dic 10, 2010 6:50 pm**

Sabbb ha scritto:Riformulo la domanda. Se creo un immagine del sistema con mbr infetto,poi faccio una formattazione a basso livello,poi ripristino l'immagine creata di cui sopra:l'mbr sarà infetto o no?

Se non esegui l'immagine settore per settore il mbr dovrebbe essere pulito.

Inviato: **ven dic 10, 2010 7:19 pm**

Sabbb ha scritto:Riformulo la domanda. Se creo un immagine del sistema con mbr infetto,poi faccio una formattazione a basso livello,poi ripristino l'immagine creata di cui sopra:l'mbr sarà infetto o no?

hashcat ha scritto:Se non esegui l'immagine settore per settore il mbr dovrebbe essere pulito.

Non dovrebbe, è pulito, quindi si può stare tranquilli. Mi scuso se nei post precedenti la risposta non era del tutto chiara [:-H]

Inviato: **ven dic 10, 2010 7:43 pm**

OK. NB.Non devi scusarti di niente [^]

MegaLab.it

virus (forse) tosto assai, doppia sessione di Ie

virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie

Re: virus (forse) tosto assai, doppia sessione di Ie